Van ransomware tot hacktivisme: hoe omgaan met een steeds complexer cybercrime-landschap

Opinie
door  Diana Selck-Paulsson
gepubliceerd op om
5 min lezen

Wie zich wil beschermen tegen cyberaanvallen doet er goed aan om het dreigingslandschap te begrijpen. Dat is vandaag echter een forse uitdaging, want het ecosysteem verandert steeds meer en het onderscheid tussen ransomware en andere soorten aanvallen wordt vaag. Geopolitieke factoren spelen ook een steeds grotere rol.

Vorig jaar werd een bekende Belgische bierproducent getroffen door een ransomware-aanval. Het incident werd opgeëist door Stormous, een beruchte cyberafpersersgroep en lid van een hackerscollectief The Five Families (naar de beruchte maffiabendes in New York).

We gebruiken bewust de term “cyberafpersing” of Cyber Extortion (Cy-X), want ransomware is lang geen allesomvattende term meer. In plaats van alleen gegevens te versleutelen en losgeld te vragen om die gegevens weer vrij te geven, begonnen aanvallers enkele jaren geleden ook te dreigen met het lekken van die data op zogenaamde leak sites. Vandaag slaan ze het versleutelen zelfs helemaal over en beginnen ze meteen met hun afpersingscampagne. Cyberafpersing is dus een meer geschikte overkoepelende term, waar ook ransomware deel van uitmaakt.

Financiële versus politieke motieven

Bij ransomware denken we meestal aan een lineaire aanval waarbij een hacker infiltreert en zich door het netwerk beweegt, waardevolle bedrijfsmiddelen identificeert en losgeld eist. Aanvallen zijn echter vaak complexer en dynamischer. Er zijn meer actoren met verschillende rollen betrokken. Vandaag zien we een verontrustende trend waarbij de gestolen data van een slachtoffer meerdere keren opnieuw wordt gepost. Ons onderzoek bracht ongeveer 400 gevallen aan het licht van iemand die gegevens opnieuw deelde, meestal op dezelfde dag, en soms tot 3,5 jaar na het oorspronkelijke incident.

Sinds 2022 zien we verschuivingen in het aanvalspatroon van hackers. De reden is de oorlog in Oekraïne. Hoewel veel cyberafpersingsgroepen beweerden dat ze puur uit financieel motief handelden, begonnen ze politieke standpunten in te nemen en zich aan te sluiten bij één bepaalde partij in het conflict. Dit startte toen Conti, een van de meest productieve groepen, zijn steun aan Rusland uitsprak. Stormous, de groep achter de aanval op de Belgische bierproducent, sloot zich ook aan bij deze pro-Russische actor.

Europa en Noord-Amerika worden het meest getroffen door aanvallen met cyberafpersing. Sinds enkele jaren zien we ook een patroon waarbij dreigingsactoren beloven dat ze bepaalde landen of regio’s niet zullen aanvallen. Deze ontwikkelingen tonen aan dat cyberafpersing en ransomware een politieke tool geworden zijn en dat we ze niet enkel mogen beschouwen als financieel gemotiveerde criminaliteit. Het doet vermoeden dat de impact van politiek gemotiveerde campagnes toeneemt, wat ons bij een andere term brengt: hacktivisme.

Modern hacktivisme

Hacktivisme betekent dat iemand campagne voert voor sociale of politieke verandering en daarbij gebruik maakt van technologie en hacktechnieken. Om als hacktivisme te worden bestempeld, moet een aanval politiek gemotiveerd, online en geweldloos zijn. Zodra mensenlevens in gevaar worden gebracht, er ernstige financiële schade wordt veroorzaakt of fysieke eigendommen worden beschadigd, spreken we van cyberterrorisme.

Toen de oorlog tegen Oekraïne begon, mobiliseerde de toenmalige Oekraïense minister van Digitale Transformatie een machtig IT-cyberfront, het IT-leger van Oekraïne, om hen te steunen in hun strijd tegen Rusland. Veel belanghebbenden, waaronder cyberafpersingsgroepen, kozen partij in het conflict. In de oorlog in Oekraïne werden maar liefst 138 verschillende groepen geïdentificeerd, terwijl nog eens 189 groepen betrokken raakten bij het Israëlisch-Palestijnse conflict. Deze groepen zijn geen hacktivisten, maar fungeren als fronten voor overheden of andere professionele entiteiten. Ze reageren direct op geopolitieke gebeurtenissen en sluiten zich aan bij de belangen van de overheid.

Voor de cyberbeveiligingsindustrie is de impact van deze aanvallen niet meetbaar, in tegenstelling tot cyberaanvallen op organisaties die downtime en bedrijfsonderbrekingen veroorzaken. We moeten de effecten echter niet onderschatten. Een van de meest actieve pro-Russische hacktivistengroepen die we continu volgen, richt zich consequent op entiteiten die op de lijst staan van landen die kritisch zijn voor Rusland en Oekraïne steunen. Hun aanvallen zijn gericht op overheidssites, openbaar vervoer en andere doelen die de krantenkoppen halen.

Uit eigen onderzoek naar meer dan 6.000 hacktivistische incidenten blijkt dat veel aanvallen strategisch gepland zijn om de publieke opinie te beïnvloeden en het vertrouwen van mensen aan te tasten. Bijvoorbeeld om verkiezingen te manipuleren of conferenties te verstoren.

Wat kunnen we doen?

Het dreigingslandschap is complexer dan ooit, zeker nu we meer kruisbestuivingen zien tussen financieel en politiek gemotiveerde groepen met dreigingsactoren. Informatiecampagnes vormen een reële bedreiging, maar zijn nog moeilijker te detecteren en het is nog complexer om zich ertegen te verdedigen. Gelukkig gebruiken aanvallers doorheen de jaren nog steeds dezelfde technieken, zoals toegang op afstand, misbruik maken van kwetsbaarheden, en social engineering.

Organisaties kunnen zich dus al degelijk beschermen door zich te houden aan basispraktijken in cybersecurity. Regelmatig (offline) back-ups maken, training geven aan je gebruikers, het mogelijk maken van multifactorauthenticatie, en wachtwoordcomplexiteit introduceren zijn enkele stappen waarmee je ver komt. Zelfs in deze complexe omgeving brengen de basics je al heel eind.

Diana Selck-Paulsson – Lead Security Researcher bij Orange Cyberdefense

Meer
Beursnieuws
Newsfeed
1696522784
16:19 Beursagenda: Belgische bedrijven
15:30 Saverys onderhandelt over bod op Euronav
15:18 Amerika exporteert meer
14:50 Wall Street vermoedelijk licht lager uit de startblokken
14:38 Aantal nieuwe steunaanvragen VS stijgt licht
14:30 Beursupdate: Bel20 licht hoger dankzij AB InBev
14:29 Stevige winst Constellation Brands
13:59 Media: Compagnie Maritime Belge wil Euronav overnemen
12:43 Casino ziet verbetering
12:34 FSMA schort handel in Euronav op
Meer
donderdag 20 maart
20:33
Europese Unie
Nederlandse houding over versterken Europese veiligheid wekt bezorgdheid in Brussel
20:02
Bank
Bpifrance investeert 450 miljoen euro in Franse defensie-industrie
19:30
Buitenland
Rusland en VS bespreken energie samenwerking
19:01
Aandelen
De Federal Reserve houdt de rente gelijk; Trump roept op tot renteverlaging
18:30
Artificiële Intelligentie
Belgische media wijzen op Amerikaanse dominantie in AI-sector
Meer
Opinie
Business

Open brief aan minister Clarinval: “Wordt het geen tijd dat freelancers de erkenning krijgen die ze verdienen?”

door Niels Saelens
Opinie

10 waarschuwingssignalen voor de Belgische economie

door Bart Van Craeynest
Opinie

Wat betekent de EU-ontbossingverordening voor de Belgische cacaosector? 

Babette van der Spoel
Opinie

Van TikTok naar WallStreet: de invloed van Gen Z op de financiële markten

Hans Selleslagh
Opinie

Stagnerende werkgelegenheid in de privé

door Bart Van Craeynest
Opinie

Gerommel in de marge zal niet volstaan om Europese overregulering terug te dringen

door Pieter Cleppe
Meer Opinie

Ontvang de Business AM nieuwsbrieven

De wereld verandert snel en voor je het weet, hol je achter de feiten aan. Wees mee met verandering, wees mee met Business AM. Schrijf je in op onze nieuwsbrieven en houd de vinger aan de pols.